CVE-2022-29834: JVNVU#96480474: 三菱電機製GENESIS64およびMC Works64における複数の脆弱性

公開日：2022/07/19　最終更新日：2022/07/19

---

三菱電機株式会社が提供するGENESIS64およびMC Works64には、複数の脆弱性が存在します。

---

CVE-2022-29834

• GENESIS64 Version 10.97から10.97.1まで

CVE-2022-33315、CVE-2022-33316、CVE-2022-33317、CVE-2022-33318、CVE-2022-33319、CVE-2022-33320

• GENESIS64 Version 10.97から10.97.1まで
• MC Works64 Version 4.04Eおよびそれ以前の全バージョン

詳しくは、開発者が提供する情報をご確認ください。

---

三菱電機株式会社が提供するGENESIS64およびMC Works64には、次の複数の脆弱性が存在します。

• パストラバーサル（CWE-22）- CVE-2022-29834
• 信頼できないデータのデシリアライゼーション（CWE-502）- CVE-2022-33315、CVE-2022-33316、CVE-2022-33318、CVE-2022-33320
• 信頼できない制御領域からの機能の組み込み（CWE-829）- CVE-2022-33317
• 境界外読み込み（CWE-125）- CVE-2022-33319

---

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

CVE-2022-29834

• GENESIS64のモバイル端末用アプリに配信される監視画面のURLに対し、遠隔の第三者が悪意あるURLパラメータを埋め込み監視画面へアクセスすることで、GENESIS64サーバー内に保存されている情報が漏えいする

CVE-2022-33315、CVE-2022-33316

• GENESIS64とMC Works64のグラフィック画面作成・表示機能において、悪意あるXAMLコードを含む監視画面ファイルをユーザに読み込ませることによって、悪意のあるプログラムが実行される

CVE-2022-33317

• GENESIS64とMC Works64のグラフィック画面作成・表示機能において、悪意あるスクリプトを含む監視画面ファイルをユーザに読み込ませることによって、悪意のあるプログラムが実行される

CVE-2022-33318

• GENESIS64とMC Works64の外部OPC DAサーバーとの接続機能において、遠隔の第三者によって細工されたパケットを受信すると、悪意のあるプログラムが実行される

CVE-2022-33319

• GENESIS64とMC Works64の外部OPC DAサーバーとの接続機能において、遠隔の第三者によって細工されたパケットを受信すると、メモリ上の情報が漏えいしたり、サービス運用妨害（DoS）状態となる

CVE-2022-33320

• GENESIS64およびMC Works64のプロジェクト管理機能において、悪意あるXMLコードを含むプロジェクト構成ファイルを読み込ませることによって、悪意のあるプログラムが実行される

詳しくは、開発者が提供する情報をご確認ください。

---

アップデートする
開発者が提供する情報をもとに、GENESIS64およびMC Works64向けセキュリティパッチを使用し、ソフトウェアをアップデートしてください。

ワークアラウンドを実施する
アップデートを行うまでの期間、リスクを最小限に抑えるために、次のワークアラウンドを実施することが開発者から推奨されています。

• 制御システムのネットワークとデバイスをファイアウォールで防御し、信頼できないネットワークやホストからのアクセスを遮断する
• 信頼できない送信元からのメール等に記載されたURLをクリックしたり、メールの添付ファイルを開いたりしない

詳しくは、開発者が提供する情報をご確認ください。

---

---

---

---

---

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

---

JPCERT 緊急報告

JPCERT REPORT

CERT Advisory

CPNI Advisory

TRnotes

CVE

JVN iPedia